可验证证书( Verifiable Credential ,后面简称 VC ),是 W3C 的一个技术规范,是以 DID 作为基础形成的第二层技术基础设施,是 DID 的功能的扩展,可以理解成基于 DID 的智能合约,当然跟当下流行的智能合约还是有很大差异的。W3C 还专门有一个名为"可验证声明工作组"的组织来从事这方面的工作的推动。
DID 是 Web3.0 数字空间的身份证。DID 虽然是假名,但是一样很可能会被一个人长期持有,并积累各种信誉在上面的。因为 Web3.0 是要支撑起真实经济活动的,所以里面的人不能只有一张身份证,更需要有其他的各种形式的证书。那么 VC 该如何签发呢?需不需要依赖于可信第三方?又如何做到去中心化可验证呢?
肉身世界的证书
我们先从肉身世界我们熟悉的证书说起,也预热一下证书这个概念。
以驾驶证为例,肉身世界的证书可能包含以下信息:
- 用来确定主体的信息,例如,我,就是我的驾照的主体,可以印上我的,姓名,照片,或者身份证号来让别人确定我
- 发证机构的信息,例如某交通部门
- 描述本证书的一些信息,例如,驾照上印着”驾驶证“这几个字,有效期等等
- 发证机构认定主体所具有的属性,例如交通部门认定我有驾驶卡车的能力
根据需要当然还可以有其他内容。但是可以总结出证书的一个固有规律,那就是必须有一个第三方权威机构签发,例如,我要证明我自己身体是健康的,这个健康证一定要是专业医疗机构来签发,而不能因为坚持要去中心化,而找自己的一群朋友联合签发。当然不排除,权威机构本身也可以是一个由专家组成的去中心化的组织。
基于 DID 的证书?
Web3.0 数字世界的证书很可能是基于 DID 来签发的。
类似驾照这样的证书,需要包含这些内容:
- 用来确定主体的信息,这里就是我的 DID
- 发证机构信息,某某交通部门的 DID
- 描述本证书的信息,主体能力的描述,这些跟肉身世界没有区别
- 发证机构的数字签名
需要说明的是,DID 跟肉身不绑定,而驾驶能力跟人的肉身状况是相关的,所以根据本书前面提过的数字空间独立思想,可能跟肉身关联紧密的证书,可能更适合用传统肉身空间的方式来完成。
但是数字空间中,我们也需要证明很多东西
- 年龄大于20岁
- 月收入大于1个比特币
- 有 3D 设计能力
这些都可以用 VC 来证明。
“可验证”如何体现?
那么可验证证书的”可验证“或者说”去信任“又体现在哪些方面呢?
肉身世界的证书是中心化的基于信任的。比如,你要证实一下我的驾驶能力,只能去看一下我的驾照,然后选择信任发证的交通部分。想要更安全一些,可以亲自去交通部门,查一查这个驾驶证是不是真的,但是依然是要选择信任交通部门的工作人员。
Web3.0 是要实现”可验证“的。一个 VC 形式的能力证书,可以通过验证考试机构的数字签名的形式来进行验证。
但是现在咱们要来问一个比较尖锐的问题了,发证的权威机构是不是可信第三方呢?答案是肯定的。但是,即使这样,整个 VC 也已经达成了非常好的去中心化和可验证性。传统的可信第三方,信任基于这个第三方的我们不可查看的数据库,而现在只需要验证一下公开的数字签名即可,而第三方的公钥,是注册在区块链上的公开信息。同时,VC ,包括权威机构的数字签名都是保存到用户自己手里的,那么即使第三方机构倒闭,他人依然可以验证 VC 的有效性。
举个贴近现实一些的例子。未来的淘宝可能就是一个注册的在区块链上的 DID 。我在你的商品上发了一个评论,那么这条评论的发布时间,关联商品等等信息如何保证是防止篡改的呢?只需要淘宝 DID 去签署一下即可。这种方式的去中心化体现在:第一,所有数据都存在的用户自己的手里,淘宝不需要存储任何数据。第二,淘宝之所以可信,也是可以去中心化去验证的,因为淘宝是一个 DID ,而 DID 是可以用来绑定声誉的。第三,即使淘宝作为一个公司倒闭了,但是淘宝的 DID 依然是在区块链上,所以用户的数据依然有可信度。
所以说,VC 是可以验证的,对权威第三方的信任主要是社会意义上的,而非技术意义上的。意思是说,权威机构是证书的接收者,例如雇主信赖的机构。
结论
VC 的签发基于的是数字签名的可验证性。发证机构作为可信第三方出现,但是整个系统还是可以验证的。